吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4461|回复: 1
收起左侧

[PC样本分析] 论坛样本分析之带自解压木马分析

[复制链接]
Hyabcd 发表于 2015-8-4 13:55
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
  原帖地址http://www.52pojie.cn/forum.php?mod=viewthread&tid=395128&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline 楼主说这是个比特币病毒,分析了一下没有发现比特币病毒特征。科普一下,比特币病毒主要有两种,一种是通过感染计算机上各种类型文件并进行加密从而敲诈比特币的病毒,也是一种“敲竹杠”病毒;另一种是以木马形式存在,控制用户计算机中的挖矿软件进行挖矿。一般来说比特币病毒指的是前一种,不过在这个样本中并没发现具体相关的特征,倒是具有木马的特征。
   该木马只有30多k。用OD加载可以发现,刚开始该程序通过FindResource和GetEnvironmentVariable这两个函数查找相关资源和环境变量的值。不过查找的字符串看似加密过的,先放过不提。 QQ截图20150804132740.png
  再进行多次这样的查找和获取之后,该程序使用VitrualAllocEX开辟一段内存,可以推测,程序将要进行自解压,而这段内存将会用来存放解压后的代码。开辟的内存是随机的,地址为950000.
QQ截图20150804133051.png
  继续往下走,可以发现一大段数据搬移的汇编代码,而最后用jnz来进行循环,可以断定这段代码作用就是自解压。数据窗口跟随950000,jnz后下断点直接F9运行,即可看到这段内存被数据覆盖,那么刚刚那段代码自解压的作用便可得到确认。
QQ截图20150804133324.png QQ截图20150804133559.png
  继续往下走,可以发现程序又开辟了两个内存960000和970000,并把950000内的部分代码顺次拷贝到这两个内存中,最后又把970000后半段的代码(这部分代码可能为真正执行程序功能的代码)拷贝到程序原地址中,也就是以40开头的地址中,整个自解压过程真正结束。这部分作用进行相关PE文件格式的构造以及一些库的加载,只是个人猜测,并不能完全确定功能。
QQ截图20150804133859.png
  接下来程序就要执行真正的功能,显示创建临时文件并用ShellExecute打开创建的文件,是个写字板。
QQ截图20150804134225.png
  然后程序休眠五分钟之后开始执行它的恶意功能。通过http一系列的API通过GET的方式从指定网址获取压缩包,,并读取压缩包的数据。
QQ截图20150804135048.png QQ截图20150804135101.png
  从这里可以发现,之前加密的字符串可能对应的就是这些函数的信息。这部分程序循环的从五个网址上GET压缩包,并且读取包中数据,可以推测该压缩包具有恶意功能。不过楼主亲测了一下,。这五个网址都已经失效,也无法GET到压缩包,所以压缩包具体功能如何也不得而知。在进行完这一系列工作之后,程序释放掉开辟的内存并关闭进程。
  可以看出,该程序的恶意功能就是GET压缩包,并读取数据,但由于那些网址已经失效,具体功能如何也不得而知。分析中出现的错误遗漏也请大家帮忙指正。

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Hyabcd 发表于 2015-8-4 17:10
在本版中发现了同样的比特币病毒的帖子http://www.52pojie.cn/thread-327456-7-1.html,现在确定这确实是比特币病毒,作用的应该就是get到的那些压缩包,只不过链接已经过期
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表